公共事务管理中个人数据保护的法律研究
可以轻易地遭受有心人侵袭与操控之后,个人隐私权利不免受到威胁。于是,“资讯隐私权”(information privacy)的概念应运而生,有别于传统意义上对隐私权保护的思考,而转向以“个人数据保护”(data protection)为重心上,以对抗信息时代中隐私权所受到的冲击。
各国及各国际组织以“个人数据保护”为中心的立法和决议已经陆续发展起来,除了较早的经济合作及发展组织(OECD)1980年9月通过《隐私个人保护基准》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data),及欧洲议会1981年签署的《个人数据保护协定》(Council of Europe Convention For the Protection of Individuals with Regard to Automatic Processing of Personal Data)等规范外,欧盟于1995年通过《个人数据保护指令》(European Union’s Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data),此保护指令于1998年10月25日已经正式生效,该指令要求15个成员国都要立法去管理个人资料,并且特别规定第三国若未符合“适当”标准(adequacy standard),则为保护其人民个人数据隐私起见,欧盟将采取必要措施防止其个人数据转移至该具有疑义的第三国。保护指令的基本原则大致如下:用途上的限制、数据的品质、安全性的原则、透明化的原则、同意权的原则、个人救济的原则。美国的相关保护除了用其《隐私保护法》来补足其《情报公开法》和《阳光下的政府法》之外,还散见于各相关文件中,如克林顿总统于1997年7月批准并公布的《全球电子商务架构报告》(A FRAMEWORK FOR GLOBAL ELECTRONIC COMMERCE),此报告内容中关于隐私权部分中提到:要想让民众能放心在网络上从事商务活动,确保个人数据不被侵犯是重要的。而中国台湾在其八十四年八月十一日正式公布实施了《电脑处理个人资料保护法》(以下简称个资法)。可见对“个人数据的保护”已引起了广泛的关注,我们也应当加以借鉴,加快我们的立法步伐,来解决我们在实际中已经碰到的问题,保护我们公民的个人数据。
三、对策和参考意见
在分析研究了公共事务管理机构对个人数据的收集、使用等情况中的问题之后,我们试图提供一些解决问题的建议以供参考。
基于目前的国情,要建立一部独立的《个人数据保护法》似乎条件还不成熟,但就公共事务管理领域来说,个人数据的保护应当纳入地方法规和部门规章来填补这一领域的个人数据保护的空白。我们觉得要这样做的话,以下几点是应当贯彻的:
1、个人数据首先要确立对个人数据不得任意收集的原则。如《个资法》中规定非公务机关非特有目的的不得进行个人资料的收集和处理;如有特有目的要向事业主管机关申请登记,核准后发给执照,而申请登记核准后还须公告登载并供查阅。对于大规模的个人数据的收集只能是由法定的公共事务管理机构,如公安机关等,按法定的程序来收集。或者仅限于公安机关,而通过立法规定政府部门之间的关于个人数据的共享程序来使有需要的部门获得相关的个人数据。而这种在公共事务管理机构之间的使用范围的扩大也不得随意,法律应当规定何种情况可以扩大,何种情况不可;按照对个人数据的分类,哪些个人数据可以共享,哪些不可以共享;并对访问权限进行设置。总之,这种获得个人数据的行为,不论是收集还是从他处实现共享,都必须是法律授权的,也就是要有法律依据。
2、为切实保护个人隐私权,在个人数据的收集环节中就应当得以体现并作出相应的保证。明确收集个人数据的使用目的,并且明确告知哪些个人数据是必须要提供的,而哪些是可以选择提供也可以选择不提供的。个人不仅是个人数据产出的最初来源,也是其正确性最后的核查者,所以个人当然地对其个人数据拥有主动积极的控制支配权。当个人将其数据提供给收集机关时,这种主动积极的控制支配权即发生分化和弱化。所以,应当通过制度的方式来弥补这种分化和弱化,而个人也应当成为收集机关对该个人数据使用范围的参与决定者。当个人将其数据提供给收集机关时,当可以视为个人对收集机关所告知的目的的使用的同意,但其他目的的使用则视为不同意。我们认为在此阶段即可通过格式化的行政合同或其它协议来决定个人数据的使用范围并设立救济方式。而收集机关在没有同当事人协商并获得其同意之前,不得将当事人为某特定目的所提供的个人数据运用在另一个目的上。
3、法律应当对所保护的个人数据的客体包括公共事务管理机关可以收集的个人数据的范围加以细数。如中国台湾的《个资法》中规定:保护客体即是个人资料,所谓“个人资料”是指“自然人的姓名、出生年月日、身份证号码、特征、指纹、婚姻、家庭、教育、职业及其他足以识别该个人的资料”,亦即可以凭借
4、法律应当规定个人与个人数据收集机构的权利义务。对于个人来说,法律应明确赋予其控制其自身数据的权利;在其按规定向收集机关提供其个人数据后享有获得相应服务、办理相关事务的权利等。同时个人又负有按规定主动、如实地向收集机关提供、及时更正其个人数据,保障公共事务管理机关顺利开展工作的义务等。对于个人数据收集机构来说,拥有按法律规定收集、加工、使用个人数据的权利以及维护其收集工作正常进行的权利等。其义务在于告知数据提供人其权利义务;告知所要收集的个人数据的范围和使用目的;保护数据提供人的隐私;维护所收集个人数据的安全和完整;透明化对个人数据的使用状况;接受法定监督机关以及公民的监督等。这里需要另外指出的是,由于个人数据一旦成为收集机关加以使用的数据,即具有权威性,对个人的权益产生影响,所以个人对其提供的数据的真实可靠性负有责任,收集机关亦有在数据的收集、加工、使用过程中避免其出现差错的责任,由此产生的不利后果应当由过错方承担,如见前述。
5、法律规定应当约束公共事务管理机构对外提供个人数据,并对公共事务管理机关对外提供个人数据服务树立宗旨并加以指导。对外提供服务应当符合维护社会公共利益的宗旨,在“三公”的前提下向社会提供对外服务。避免由于对垄断数据资源获得途径的差异而造成不正当竞争。欧盟指令1992年的建议里有关许可的条款要求拥有任何特定信息唯一来源的数据库拥有者按照公平和一视同仁的条件许可任何竞争者使用该信息。法律应当规定对征信业及以收集或处理个人数据为主要业务的团体或个人、医院、学校、电信业、金融业、证券业、保险业、大众传播业等行业可以提供服务的范围和审批程序。
6、公共事务管理机构应当完善内部的规章制度,强化个人数据相关工作的管理,杜绝内部工作人员非工作目的的私自对个人数据的处理和泄露。
7、法律应当对个人数据使用的法定许可与合理使用的范围进行规定,避免个人隐私权的不合理膨胀。
四、结束语
对于公共事务管理中的个人数据保护,我们现在所做的研究是肤浅的,许多问题尚未吃透,故不敢妄加评论。尤其是对公共医疗机构的个人数据保护的研究则完全没有涉及,这是本文的一大缺憾。
我国在公共事务管理过程中对个人数据的保护还处于探索阶段,笔者仅将研究中发现的有关个人数据保护的问题突显出来,希望在该问题的相互探讨过程中能够找出解决问题的合理方法,为规范和完善我国公共事务管理中的个人数据保护献出一份绵薄之力。
⑴ 《数据库的版权保护问题》 洪小娟、杨小进合著
⑵ 《网络时代个人隐私应如何保障》 李科逸
本文链接地址:http://www.oyaya.net/fanwen/view/170286.html
各国及各国际组织以“个人数据保护”为中心的立法和决议已经陆续发展起来,除了较早的经济合作及发展组织(OECD)1980年9月通过《隐私个人保护基准》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data),及欧洲议会1981年签署的《个人数据保护协定》(Council of Europe Convention For the Protection of Individuals with Regard to Automatic Processing of Personal Data)等规范外,欧盟于1995年通过《个人数据保护指令》(European Union’s Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data),此保护指令于1998年10月25日已经正式生效,该指令要求15个成员国都要立法去管理个人资料,并且特别规定第三国若未符合“适当”标准(adequacy standard),则为保护其人民个人数据隐私起见,欧盟将采取必要措施防止其个人数据转移至该具有疑义的第三国。保护指令的基本原则大致如下:用途上的限制、数据的品质、安全性的原则、透明化的原则、同意权的原则、个人救济的原则。美国的相关保护除了用其《隐私保护法》来补足其《情报公开法》和《阳光下的政府法》之外,还散见于各相关文件中,如克林顿总统于1997年7月批准并公布的《全球电子商务架构报告》(A FRAMEWORK FOR GLOBAL ELECTRONIC COMMERCE),此报告内容中关于隐私权部分中提到:要想让民众能放心在网络上从事商务活动,确保个人数据不被侵犯是重要的。而中国台湾在其八十四年八月十一日正式公布实施了《电脑处理个人资料保护法》(以下简称个资法)。可见对“个人数据的保护”已引起了广泛的关注,我们也应当加以借鉴,加快我们的立法步伐,来解决我们在实际中已经碰到的问题,保护我们公民的个人数据。
三、对策和参考意见
在分析研究了公共事务管理机构对个人数据的收集、使用等情况中的问题之后,我们试图提供一些解决问题的建议以供参考。
基于目前的国情,要建立一部独立的《个人数据保护法》似乎条件还不成熟,但就公共事务管理领域来说,个人数据的保护应当纳入地方法规和部门规章来填补这一领域的个人数据保护的空白。我们觉得要这样做的话,以下几点是应当贯彻的:
1、个人数据首先要确立对个人数据不得任意收集的原则。如《个资法》中规定非公务机关非特有目的的不得进行个人资料的收集和处理;如有特有目的要向事业主管机关申请登记,核准后发给执照,而申请登记核准后还须公告登载并供查阅。对于大规模的个人数据的收集只能是由法定的公共事务管理机构,如公安机关等,按法定的程序来收集。或者仅限于公安机关,而通过立法规定政府部门之间的关于个人数据的共享程序来使有需要的部门获得相关的个人数据。而这种在公共事务管理机构之间的使用范围的扩大也不得随意,法律应当规定何种情况可以扩大,何种情况不可;按照对个人数据的分类,哪些个人数据可以共享,哪些不可以共享;并对访问权限进行设置。总之,这种获得个人数据的行为,不论是收集还是从他处实现共享,都必须是法律授权的,也就是要有法律依据。
2、为切实保护个人隐私权,在个人数据的收集环节中就应当得以体现并作出相应的保证。明确收集个人数据的使用目的,并且明确告知哪些个人数据是必须要提供的,而哪些是可以选择提供也可以选择不提供的。个人不仅是个人数据产出的最初来源,也是其正确性最后的核查者,所以个人当然地对其个人数据拥有主动积极的控制支配权。当个人将其数据提供给收集机关时,这种主动积极的控制支配权即发生分化和弱化。所以,应当通过制度的方式来弥补这种分化和弱化,而个人也应当成为收集机关对该个人数据使用范围的参与决定者。当个人将其数据提供给收集机关时,当可以视为个人对收集机关所告知的目的的使用的同意,但其他目的的使用则视为不同意。我们认为在此阶段即可通过格式化的行政合同或其它协议来决定个人数据的使用范围并设立救济方式。而收集机关在没有同当事人协商并获得其同意之前,不得将当事人为某特定目的所提供的个人数据运用在另一个目的上。
3、法律应当对所保护的个人数据的客体包括公共事务管理机关可以收集的个人数据的范围加以细数。如中国台湾的《个资法》中规定:保护客体即是个人资料,所谓“个人资料”是指“自然人的姓名、出生年月日、身份证号码、特征、指纹、婚姻、家庭、教育、职业及其他足以识别该个人的资料”,亦即可以凭借
该资料辨识谁是资料本人的资料。
4、法律应当规定个人与个人数据收集机构的权利义务。对于个人来说,法律应明确赋予其控制其自身数据的权利;在其按规定向收集机关提供其个人数据后享有获得相应服务、办理相关事务的权利等。同时个人又负有按规定主动、如实地向收集机关提供、及时更正其个人数据,保障公共事务管理机关顺利开展工作的义务等。对于个人数据收集机构来说,拥有按法律规定收集、加工、使用个人数据的权利以及维护其收集工作正常进行的权利等。其义务在于告知数据提供人其权利义务;告知所要收集的个人数据的范围和使用目的;保护数据提供人的隐私;维护所收集个人数据的安全和完整;透明化对个人数据的使用状况;接受法定监督机关以及公民的监督等。这里需要另外指出的是,由于个人数据一旦成为收集机关加以使用的数据,即具有权威性,对个人的权益产生影响,所以个人对其提供的数据的真实可靠性负有责任,收集机关亦有在数据的收集、加工、使用过程中避免其出现差错的责任,由此产生的不利后果应当由过错方承担,如见前述。
5、法律规定应当约束公共事务管理机构对外提供个人数据,并对公共事务管理机关对外提供个人数据服务树立宗旨并加以指导。对外提供服务应当符合维护社会公共利益的宗旨,在“三公”的前提下向社会提供对外服务。避免由于对垄断数据资源获得途径的差异而造成不正当竞争。欧盟指令1992年的建议里有关许可的条款要求拥有任何特定信息唯一来源的数据库拥有者按照公平和一视同仁的条件许可任何竞争者使用该信息。法律应当规定对征信业及以收集或处理个人数据为主要业务的团体或个人、医院、学校、电信业、金融业、证券业、保险业、大众传播业等行业可以提供服务的范围和审批程序。
6、公共事务管理机构应当完善内部的规章制度,强化个人数据相关工作的管理,杜绝内部工作人员非工作目的的私自对个人数据的处理和泄露。
7、法律应当对个人数据使用的法定许可与合理使用的范围进行规定,避免个人隐私权的不合理膨胀。
四、结束语
对于公共事务管理中的个人数据保护,我们现在所做的研究是肤浅的,许多问题尚未吃透,故不敢妄加评论。尤其是对公共医疗机构的个人数据保护的研究则完全没有涉及,这是本文的一大缺憾。
我国在公共事务管理过程中对个人数据的保护还处于探索阶段,笔者仅将研究中发现的有关个人数据保护的问题突显出来,希望在该问题的相互探讨过程中能够找出解决问题的合理方法,为规范和完善我国公共事务管理中的个人数据保护献出一份绵薄之力。
⑴ 《数据库的版权保护问题》 洪小娟、杨小进合著
⑵ 《网络时代个人隐私应如何保障》 李科逸
《公共事务管理中个人数据保护的法律研究(第3页)》
★读了本文的人也读了: